Модели угроз информационной безопасности

Многие российские компании довольно часто подвергаются разного рода кибератакам, от которых становится все сложнее защищаться в связи с тем, что преступные схемы постоянно совершенствуются, а мошенники учатся обходить средства защиты. Чтобы минимизировать риски информационной безопасности, необходимо применять комплексный подход. Одна из мер – разработка модели угроз. Разберемся, что это такое и каким образом поможет обеспечить безопасность.

Что такое моделирование угроз, зачем применяется, какие задачи решает

Модель угроз информационной безопасности – стратегический подход к выявлению актуальных векторов действий злоумышленников и оценка степени их опасности для компании. По сути, это документ с перечнем вероятных атак и точек входа для киберпреступников.

Главная задача методики – узнать противника «в лицо» и подготовиться к отражению нападений. Применяя ее, удается минимизировать риски и потенциальные негативные последствия для организации.

Важно исследовать два типа угроз:

• Внешние, то есть исходящие от лиц, не имеющих прямого отношения к компании. Они могут быть нацелены на подрыв ее репутации и даже остановку деятельности, кражу денежных средств со счетов, слив конфиденциальной информации.
• Внутренние – угрозы, исходящие от инсайдеров: сотрудников организации, партнеров или иных лиц, тем или иным образом связанных с деятельностью или персоналом компании. То есть людей, у которых уже есть доступ к конфиденциальной информации, или тех, кто при желании может легко им завладеть.

Задачи, которые решает моделирование угроз

1. Идентификация потенциальных угроз. Моделирование угроз помогает идентифицировать потенциальные угрозы безопасности информации, которые могут повлиять на целостность и доступность информационных ресурсов, включая конфиденциальные данные.
2. Оценка рисков. Моделирование угроз помогает оценить риски, связанные с потенциальными угрозами безопасности информации. Это позволяет организации принять меры для снижения или устранения рисков.
3. Разработка мер безопасности. Моделирование угроз помогает разработать эффективные меры безопасности для предотвращения или снижения рисков, связанных с потенциальными угрозами безопасности информации.
4. Проверка эффективности мер безопасности. Моделирование угроз помогает проверить эффективность существующих мер безопасности и определить, требуются ли дополнительные меры для защиты информационных ресурсов.
5. Обучение персонала. Моделирование угроз может быть использовано для обучения персонала организации по вопросам безопасности информации и повышения осведомленности о потенциальных угрозах.

Внешние угрозы информационной безопасности

Модели угроз информационной безопасности должны охватывать все существующие варианты атак. Выделим четыре категории, которым в основном подвергаются как пользователи интернета – физические лица, так и компании.

Киберугрозы

В моделях угроз так называют атаки с использованием уязвимостей локальных сетей и приложений. Примеры:

• «Нашествие» ботнетов – атаки с использованием множества зараженных устройств, управляемых хакерами.
• DDoS-атаки – намеренная перегрузка серверов путем отправки огромного количества запросов.
• Внедрение кода SQL для взлома баз данных и различных программ.
• XSS или межсайтовый скриптинг – внедрение вредоносных кодов в браузеры жертв с целью дальнейшего развития атаки.

В моделях угроз могут присутствовать десятки разновидностей атак. Важно следить за преступными тенденциями и регулярно обновлять документ с учетом актуального ландшафта киберугроз.

Фишинг

Фишинг – мошеннические действия, которые чаще всего выделяют в отдельную категорию. Главная цель при использовании этой тактики – завладеть персональными или платежными данными, украсть деньги с банковских карт. Это происходит разными методами в зависимости от выбранного злоумышленниками сценария:

• Целевой фишинг, направленный на конкретную жертву или узкий круг лиц. Как правило, мошенники, под видом родственника или коллеги отправляют письма или сообщения с просьбами переслать деньги или поделиться какими-либо сведениями. В процессе жертву часто запугивают или торопят, вынуждая совершать необдуманные поступки. Модели угроз обязательно включают этот вариант атаки.
• Уэйлинг – целевой фишинг, направленный на руководителей компаний. Обычно это попытки выведать ИНН и банковские реквизиты фирмы. Для достоверности преступники присылают жертве письма «официального» характера якобы от имени партнеров или клиентов.
• Смишинг – отправка СМС-сообщений со ссылками на фейковые зараженные ресурсы.
• Вишинг – голосовые атаки. Например, преступники выдают себя за сотрудников банка и требуют назвать полные данные платежной карты. Или банально просят денег под видом знакомых.
• Email-фишинг – самая распространенная атака в модели угроз. Она подразумевает рассылку электронных писем с вредоносными вложениями или приглашениями на сомнительные ресурсы.
• Поисковый фишинг – выведение мошеннического ресурса в топ благодаря SEO-оптимизации. Ничего не подозревающие пользователи заходят на сомнительные сайты и оставляют персональные данные или «хватают» на свои устройства вредоносные программы.
• Шантаж – достаточно редкий сейчас вид фишинговой атаки, в рамках которого мошенники отправляют жертвам письма о наличии некого компромата и предлагают перевести деньги за молчание.

Модели угроз информационной безопасности должны описывать опасность всех видов фишинга, поскольку у преступников иногда хорошо работают даже банальные схемы, о которых давно известно.

Вредоносное программное обеспечение

Вредоносным ПО называют программы, которые попадают на устройства жертв через зараженные сайты, приложения или внешние носители, а затем парализуют работу информационных систем или помогают похищать конфиденциальные данные. Самые распространенные виды такого ПО:

• Классические компьютерные черви – программы, которые умеют копировать сами себя, поэтому быстро распространяются по компьютерным сетям. Они используют уязвимости безопасности и наносят серьезный вред информационным системам.
• Трояны – программные компоненты, маскирующиеся под легитимные приложения, а иногда даже выполняющие их функции. Они могут наносить вред системе и собирать засекреченные данные.
• Шпионы – программы, которые устанавливаются на компьютеры с целью сбора конфиденциальной информации.
• Кейлогеры –программы, которые умеют фиксировать нажатия на клавиатуру. С их помощью злоумышленники могут похищать пароли и персональные данные.

Также в моделях угроз могут присутствовать логические, кластерные и архивные «бомбы», различные хакерские утилиты, программы-вымогатели и т. д.

Взломом называют попытки злоумышленников проникнуть внутрь информационного периметра компании и получить доступ к ресурсам, конфиденциальным данным. Такие атаки реализуются разными методами, например, с помощью ботов, программ-шпионов, перехвата корпоративной электронной почты. Модель угроз должна описывать как можно больше способов проникновения преступников, чтобы было проще «держать оборону» информационного пространства.

Социальная инженерия

Еще один вид опасных атак – социальная инженерия, которую иначе называют «взломом человека». Чтобы ее осуществить, не нужны технологии и специальные инструменты – достаточно умения манипулировать жертвой и входить к ней в доверие. Мошенники используют различные психологические приемы, позволяющие получить необходимую информацию: сведения о каких-либо персонах, логины и пароли, реквизиты карт и банковских счетов. Как правило, перед взаимодействием с жертвой преступники тщательно готовятся, например, изучают социальные сети и на основании добытых данных создают правдоподобную легенду. Или маскируются под потенциальных клиентов компании, входят в доверие к менеджерам и пытаются выведать важную информацию. Схем социальной инженерии очень много, и нередко они далеки от банальных. Важно, чтобы модели отражали как можно больше признаков таких угроз, поскольку многие люди склонны поддаваться на уловки мошенников, а это чревато серьезными последствиями для компании.

Внутренние угрозы информационной безопасности

К этой группе можно отнести инсайдерские угрозы. Примеры таких инцидентов:

• Слив баз клиентов, разработок компании и других коммерческих сведений конкурентам за вознаграждение.
• Попытки забрать результаты своей работы при увольнении.
• Коммерческий шпионаж.
• Присвоение материальных активов компании.
• Махинации с ценными бумагами и финансовыми отчетами.

Самую серьезную опасность для компаний представляют привилегированные пользователи-инсайдеры, у которых есть доступ ко всем критически важным системам и данным. Этот факт обязательно следует учесть при создании модели угроз информационной безопасности.

Модель угроз ФСТЭК России

Приказ № 17 ФСТЭК России диктует ключевые требования к защите от информационных угроз, одно из которых – определение наиболее актуальных для разных сфер деятельности.

Структура модели угроз информационной безопасности:

• Описание локальных сетей и используемых систем. Обязательно должны присутствовать: наименования, принадлежность к тому или иному классу защищенности, архитектура, особенности интерфейсов, выполняемые задачи.
• Перечень возможных последствий в случае успешно реализованных атак на перечисленные в модели угроз системы.
• Слабые места сетей и систем, эксплуатация которых может привести к развитию атаки.
• Перечисление категорий потенциальных нарушителей и их возможностей.
• Описание вероятных способов, которые могут использоваться для реализации угроз.
• Список актуальных угроз, составленный на основе всех вышеописанных факторов. Можно использовать примеры атак, перечисленных в документах ФСТЭК России и других достоверных источниках. На их базе будет проще создать собственную детализированную модель угроз.

Не обязательно включать в модель компании все пункты, однако в целом следует соблюдать эту методику. Она дает возможность составить детализированный «путеводитель» по актуальным атакам и оценить степень опасности каждой.

Последствия угроз для компании

Модель угроз информационной безопасности обязательно должна включать описание последствий атак. Во-первых, это нарушение конфиденциальности данных или потеря информации. Во-вторых, финансовый ущерб, например упущенная выгода или убытки в результате приостановки деятельности. В-третьих, проблемы с репутацией. Они могут возникнуть в случае утеки персональных данных партнеров или клиентов либо обмана мошенниками людей от имени компании.

Предотвращение внутренних угроз с помощью DLP-системы

DLP-системы (Data Loss Prevention) – решения, которые фигурируют в моделях угроз как одни из самых эффективных средств защиты от утечек информации и внутренних инцидентов. Например, продукт Solar Dozor выполняет следующие функции:

• С помощью технологии User Behavior Analytics (UBA) анализирует поведение сотрудников по различным паттернам и тем самым помогает выявлять потенциальных инсайдеров.
• Контролирует самые популярные каналы передачи корпоративных данных (электронную почту, мессенджеры и др.).
• Блокирует попытки передачи конфиденциальных документов.
• Формирует детальное досье на каждого работника, где хранится вся информация об их активности и коммуникациях.
• Контролирует хранилища данных.
• Транслирует видео и делает записи с микрофонов, экранов рабочих станций работников.

Это малый перечень функций и технологий, благодаря которым Solar Dozor позволяет выявлять внутренние нарушения. Система также облегчает проведение расследований, формирует детальные отчеты, помогает проводить разнообразные исследования в сфере информационной безопасности.

Заключение

По факту модель угроз является описательным представлением актуальных атак, которые могут быть нацелены на компанию. Она включает перечень программных и технических инструментов, используемых для защиты. Например, это могут быть системы SIEM (Security Information and Event Management) для фиксации сетевых событий, IdM (Identity and Access Management) для управления доступом к корпоративным сведениям и решения класса DLP. Эти и другие продукты формируют контур информационной безопасности, то есть представляют собой комплекс средств, эффективных против атак, перечисленных в модели угроз.